Zeus Sphinx se renueva mientras la ola de ataque de pago de alivio de coronavirus continúa

El troyano bancario Zeus Sphinx ahora recibe actualizaciones frecuentes y mejoras a su arsenal malicioso mientras se implementa en estafas de coronavirus activas. El lunes, el investigador de seguridad de IBM, Nir Shwarts, dijo que la compañía ha estado siguiendo la evolución del malware que se basa en la base de código filtrada del conocido troyano Zeus v.2.
Zeus Sphinx, también conocido como Zloader o Terdot, surgió por primera vez en 2015 y fue utilizado en ataques lanzados contra bancos estadounidenses. Sin embargo, el malware desapareció de la escena criminal y, con la excepción de un puñado de campañas a lo largo de los años, permaneció inactivo hasta ahora, cuando nuevamente se lo vio en ataques contra bancos, así como en una nueva campaña relacionada con COVID. -19. En marzo, IBM documentó una ola de ataques en los que el troyano se ocultó en documentos de phishing, se difundió por correo electrónico y se ocultó como información relacionada con los pagos de socorro COVID-19.
Ver también: el malware Zeus Sphinx resucita para abusar de los temores de COVID-19 Estos ataques permanecen activos e intentan capitalizar los temores que rodean las ramificaciones financieras del virus, en un momento en que muchos han perdido sus medios de apoyo y dependen de la asistencia. Según IBM, el malware ahora está cada vez más arraigado mediante actualizaciones constantes para mejorar su potencia. Zeus Sphinx aterriza primero en las máquinas a través de un archivo adjunto malicioso en el que se pide a las víctimas que habiliten las macros.
Una vez implementado, el malware agrega una tecla Ejecutar al Registro de Windows, un método muy común para mantener la persistencia que también ha sido utilizado por Zeus Sphinx desde que apareció por primera vez, y se implementará como un ejecutable o como una biblioteca de enlaces dinámicos maliciosos (DLL). El malware ha sido diseñado para obtener credenciales, como detalles bancarios o nombres de usuario y contraseñas de cuenta para servicios en línea. Zeus Sphinx utiliza técnicas de inyección del navegador para lograr este objetivo, insertando código malicioso en el explorador. Exe y los procesos del navegador para redirigir a las víctimas a dominios fraudulentos cuando intentan visitar sitios web financieros. Zeus Sphinx también creará un proceso independiente, denominado msiexec.exe para imitar un programa legítimo, en un intento de permanecer sigiloso.
CNET: problemas de seguridad de Zoom: Zoom compra una empresa de seguridad, apunta a un cifrado de extremo a extremo En enero de 2020, las muestras de malware, incluida una ID de variante en ruso llamada "Actualización 2020", utilizaron una variada lista de dominios del servidor de comando y control (C2) y una clave RC4 para el cifrado de la comunicación botnet. Sin embargo, las nuevas variantes del malware se han expandido para incluir un conjunto diferente de claves RC4, un conjunto más pequeño y diferente de C2 y una nueva ID de variante. Sphinx también usa un generador de números pseudoaleatorios (PRNG) llamado MT19937 para crear una variación en los nombres de archivos y recursos para cada dispositivo infectado para tratar de evitar la detección mediante herramientas de escaneo estático.
TechRepublic: 5 cosas que los desarrolladores deben saber sobre la privacidad y seguridad de los datos "Si bien es menos común en la naturaleza que troyanos como TrickBot, por ejemplo, el ADN subyacente de Zeus de Sphinx ha sido un habilitador eterno de fraude bancario en línea", dice IBM. "Las instituciones financieras deben contar con su regreso y extenderse a nuevas víctimas en medio de la pandemia actual". Trickbot también se está utilizando en señuelos con temática de coronavirus. El equipo de inteligencia de seguridad de Microsoft dijo en abril que las campañas de phishing que propagan el malware están utilizando temas que incluyen pruebas COVID-19 y consejos médicos. pags VER GALERÍA COMPLETA ¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0.